Nesta quinta-feira (16), o Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) publicou uma consulta pública por 45 dias sobre alterações no Regulamento de Segurança Cibernética (R-Ciber), aprovado pela Resolução nº 740/2020. Entre as mudanças, todas as prestadoras de serviços de comunicação, independente do porte, deverão alterar a configuração padrão de autenticação dos equipamentos fornecido em regime de comodato aos seus clientes.
Até as PPPs (Prestadoras de Pequeno Porte), que possuam participação de mercado nacionais inferior a 5% em cada mercado de varejo, também deverão fazer a reconfiguração dos aparelhos.
Em outras palavras, aparelhos como caixinhas de TV por assinatura, modems de banda larga e antenas de Wi-fi instalados nas casas dos usuários, que foram cedidos pelas empresas, não poderão ser entregues com a configuração padrão própria do dispositivo, mas com códigos adicionais de segurança. Isto quer dizer, que mesmo aqueles que já estão instalados, as operadoras deverão revisitar as residências e fazer a reconfiguração do aparelho, caso a consulta seja aprovada.
De acordo com o conselheiro Carlos Baigorri, relator da matéria, com a alteração será possível evitar ataques de baixa complexidade técnica.
“A manutenção de configurações de segurança padrão, advindas do fabricante, torna-se um elo fraco na cadeia de segurança quando do provimento dos serviços de telecomunicações. O custo operacional de alteração de tais configurações mais do que se justifica, comparado ao risco que esses equipamentos representam quando em funcionamento na rede de uma prestadora. Trata-se de boa prática muito eficaz contra ataques de baixa complexidade técnica”.
LEIA TAMBÉM:
–> Anatel cria código para consumidor identificar ligações de telemarketing
–> Anatel determina que fabricantes de smartphones ativem rádio FM em aparelhos compatíveis
–> Anatel passará a fiscalizar e regular os Correios
Caso aprovada, a obrigatoriedade da reconfiguração dos aparelhos não será aplicada às operadoras de pequeno porte, os ISPs com menos de 5% de participação no mercado de telecom. Por não serem enquadradas como fornecedoras de infraestrutura crítica, ficaram dispensadas de informar à Anatel sobre a sua infraestrutura.
No entanto, os ISPs com infraestrutura de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal que detenham rede própria e detentores de rede de suporte de transporte de tráfego interestadual, em mercado de atacado deverão elaborar, implementar e manter um Política de Segurança Cibernética, além de notificar e comunicar à Anatel, as prestadoras e aos clientes incidentes relevantes e realizar ciclos para avaliação de vulnerabilidades; e enviar à agência informações sobre suas infraestruturas críticas.
